什么是SSL证书？

在开始配置之前，我们先了解一下SSL证书。简单来说，SSL证书就像网站的"身份证"，它能让你的网站从HTTP变成HTTPS，在浏览器地址栏显示一个小锁图标。当用户访问你的网站时，所有传输的数据都会被加密，防止被黑客窃取。

举个例子：就像你寄快递时把物品放进保险箱再寄出，只有收件人有钥匙能打开。没有SSL证书时，数据就像明信片一样谁都能看到内容。

准备工作

在Tomcat中配置SSL证书前，你需要准备：

1. 一个有效的SSL证书（可以从阿里云、腾讯云等CA机构购买或申请免费证书）

2. Tomcat服务器（本文以Tomcat 9为例）

3. JDK环境（建议1.8以上版本）

详细配置步骤

第一步：获取SSL证书文件

当你从CA机构申请SSL证书后，通常会得到以下几种文件：

- .crt或.pem文件（公钥证书）

- .key文件（私钥文件）

- 有时还会有.ca-bundle文件（中间证书）

实际案例：比如从阿里云申请的免费SSL证书，下载时会得到一个压缩包，解压后通常包含：

```

yourdomain.com.pem

公钥

yourdomain.com.key

私钥

chain.pem

中间证书

第二步：将证书转换为Java支持的格式

Tomcat使用的是Java环境，而Java通常使用.jks(Java KeyStore)或.p12格式的密钥库。我们需要将PEM格式的证书转换为JKS格式。

1. 合并证书链：

如果你的CA提供了单独的中间证书(chain.pem)，需要将它和主证书合并：

```

cat yourdomain.com.pem chain.pem > fullchain.pem

2. 转换为PKCS12格式：

使用OpenSSL工具执行以下命令：

openssl pkcs12 -export -in fullchain.pem -inkey yourdomain.com.key -out yourdomain.com.p12 -name tomcat -CAfile chain.pem -caname root

执行后会提示输入密码（请牢记这个密码）

3. 转换为JKS格式：

使用JDK自带的keytool工具：

keytool -importkeystore -deststorepass changeit -destkeypass changeit -destkeystore yourdomain.jks -srckeystore yourdomain.com.p12 -srcstoretype PKCS12 -srcstorepass [你设置的密码] -alias tomcat

第三步：配置Tomcat的server.xml

找到Tomcat安装目录下的conf/server.xml文件：

1. 取消注释并修改Connector配置：

找到大约83行左右的`

```xml

maxThreads="150" SSLEnabled="true" scheme="https" secure="true"

keystoreFile="/path/to/your/yourdomain.jks"

keystorePass="changeit"

clientAuth="false" sslProtocol="TLS"

keyAlias="tomcat"/>

参数说明：

- `keystoreFile`: JKS文件的完整路径

- `keystorePass`: JKS文件的密码（上一步设置的）

- `keyAlias`: 密钥别名（与上一步一致）

2. 可选：强制HTTP跳转HTTPS（推荐）：

在web.xml最后``前添加：

Entire Application

/*

CONFIDENTIAL

第四步：重启Tomcat并测试

执行以下命令重启Tomcat服务：

cd /path/to/tomcat/bin

./shutdown.sh

./startup.sh

测试是否成功：

1. 访问https://你的域名:8443/

2. Chrome浏览器地址栏应该显示小锁标志

3. 可以使用https://www.ssllabs.com/ssltest/进行更全面的测试

常见问题及解决方案

Q1: Tomcat启动时报错"Keystore was tampered with, or password was incorrect"

A:

1. 检查keystorePass是否与创建JKS时设置的密码一致

2. 确认keyAlias是否正确（可以用`keytool -list -v -keystore yourdomain.jks`查看）

Q2: HTTPS访问正常但浏览器显示"不安全"

A:

1. CA机构的中间证书可能没正确安装。确保fullchain.pem包含了所有中间证书。

2. Windows服务器特别容易出现这个问题。

Q3: HTTP没有自动跳转到HTTPS

1. web.xml中的security-constraint位置是否正确？

2. Tomcat版本不同可能有差异，可以尝试添加以下重定向规则：

remoteIpHeader="x-forwarded-for"

protocolHeader="x-forwarded-proto"

protocolHeaderHttpsValue="https"/>

SSL安全优化建议

仅仅配置SSL还不够安全！作为安全从业人员，我建议你进一步：

1. 禁用不安全的协议和加密套件：

在server.xml的Connector中添加以下参数：

sslEnabledProtocols="TLSv1.2,TLSv1.3"

ciphers="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256"

这可以禁用老旧的TLSv1和TLSv1.1协议以及弱加密算法。

2.设置HSTS响应头：

在web.xml中添加：

httpHeaderSecurity

org.apache.catalina.filters.HttpHeaderSecurityFilter

hstsEnabled

true

/*

这会让浏览器记住以后都使用HTTPS访问你的网站。

SSL维护小贴士

1.定期更新和替换过期前的SSL

建议提前30天更换即将过期的证书记得更换后要重启Tom才能生效。

通过以上步骤你应该已经成功在Tom中完成了S证配记住S不是一劳永逸的工作需要定期维护更新才能确保网站的安全性和可信度。

TAG:ssl证书怎么在tomcat中配置,ssl证书配置在代理还是域名上,ssl证书选择,ssl tomcat,ssl证书如何配置